Gestión de las cuentas y autorizaciones¶

La administración de cuentas implica crear, modificar y eliminar cuentas de usuario para las diversas aplicaciones administradas dentro de la organización. Esto implica asignar identificadores únicos a los usuarios (como nombres de usuario o ID de empleado) y administrar la información asociada con estas cuentas.

La gestión de permisos consiste en otorgar derechos de acceso y autorizaciones específicas a cada identidad en función de su rol, responsabilidades, organización y necesidades dentro de la organización. Estas autorizaciones pueden incluir acceso a aplicaciones, datos, redes, sistemas, recursos físicos, etc.

La gestión de las funciones y permisos de una identidad implica el cálculo y la asignación de permisos a las identidades en diferentes aplicaciones con el fin de construir un repositorio teórico de identidades y sus permisos. Esto significa que todas las cuentas calculadas, funciones y autorizaciones pueden ser provistas automáticamente o manualmente en las diversas aplicaciones de destino.

Las demás Identity ofrece la opción de administrar funciones y autorizaciones de forma automática, a través de reglas de autorización, o de forma discrecional, a través de adiciones de derechos manuales o solicitudes de formulario (flujo de trabajo).

Gestión de los tipos de cuentas¶

Un tipo de cuenta consta de varios elementos:

Una política de inicio de sesión (obligatoria),
Una política de contraseñas (opcional),
Atributos de la cuenta (opcional),
Estados de cuentas definidos de acuerdo con los estados de identidad

Un tipo de cuenta debe estar vinculado a un repositorio y debe estar vinculado a una función para generar cuentas. Por lo tanto, es posible tener varias cuentas en el mismo repositorio para la misma identidad si esa identidad tiene varias funciones diferentes.

Crear/modificar/borrar un tipo de cuenta para un repositorio¶

Consulte la página Gestión de tipos de objetos para conocer la gestión de tipos de cuentas, la configuración de los diferentes formularios, etc.

Para acceder a la gestión de la política de inicio de sesión, vaya al menú Administración de acceso/Reglas de cuenta.

Se le llevará directamente a la lista de políticas de inicio de sesión existentes, precargadas en una tabla sin filtros aplicados.

La paginación está configurada para mostrar sólo 10 políticas de inicio de sesión.

En la parte superior derecha de la tabla hay un campo de búsqueda que se centra en los atributos code y name de las políticas de inicio de sesión.

Para crear una nueva política de inicio de sesión, haga clic en el botón .

Introduzca los parámetros para una política de inicio de sesión:

Código: código para la política de inicio de sesión. Debe ser único, sin espacios ni caracteres especiales. Obligatorio.
Nombre: nombre de la política de inicio de sesión. Etiqueta que se mostrará en los diversos formularios de la solicitud. Obligatorio.
Descripción: campo para introducir una descripción de la política de inicio de sesión.
Fórmula (primaria): fórmula de cálculo para definir el inicio de sesión
Política de duplicidad:
- Incremento automático: el inicio de sesión se calcula utilizando la fórmula primaria y se complementa con un índice duplicado. El índice duplicado tiene un formato de 3 dígitos.
  - Ejemplo: Login_Calc002
- Fórmula (duplicado): fórmula de cálculo personalizada en caso de que se detecte un duplicado al calcular el inicio de sesión con la fórmula principal. Puede usar la palabra clave §INDEX_DOUBLON§ para administrar el incremento automático pero colocarlo en una ubicación específica. Desde Identity 7.0 SP3, la palabra clave §INDEX_DOUBLON§ comienza en 1 y no tiene límite. El índice duplicado tiene un formato de 3 dígitos para versiones anteriores.
  - Ejemplo: Fórmula (duplicado) Login2_Calc
Advertencia: para probar la fórmula con esta palabra clave, debe reemplazar §INDEX_DOUBLON§ por un valor. Esta palabra clave no puede ser interpretada en el probador de fórmulas, pero funciona en los cálculos de inicio de sesión.
Acción a tomar si existe una cuenta real:
- Uso y conciliación con la cuenta real
- Generar un inicio de sesión con una política de duplicado
- No cree una cuenta
Acciones a tomar si existe una explicación teórica:
- Generar un inicio de sesión con una política de duplicado
- No cree una cuenta

Para ver y modificar una política de inicio de sesión, haga clic en el icono ubicado a la derecha en la fila de la tabla correspondiente:

Es posible cambiar al modo de edición directamente desde la página de vista de la política de inicio de sesión.

En el modo de edición, todos los campos pueden modificarse.

Acciones en los botones en el modo de edición o creación:

Cancelar: cancela la entrada actual y cambia la página al modo de vista
Guardar: Validar el formulario y cambiar la página al modo de visualización
Guardar y salir: Validar el formulario y volver a la página de la lista de políticas de inicio de sesión

Para eliminar una política de inicio de sesión, haga clic en el icono ubicado a la derecha en la fila de la tabla correspondiente:

Aparecerá un mensaje de confirmación antes de eliminar la política de inicio de sesión.

Advertencia: no es posible eliminar una política de inicio de sesión mientras esté vinculada a uno o más repositorios.

Crear/modificar/borrar una política de contraseña¶

Para acceder a la gestión de la política de contraseñas, vaya al menú Gestión de acceso/Reglas de contraseña.

Se le llevará directamente a la lista de políticas de contraseñas existentes, precargadas en una tabla sin filtros aplicados.

La paginación está configurada para mostrar sólo 10 políticas de contraseña.

En la parte superior derecha de la tabla hay un campo de búsqueda que se centra en los atributos code y name de las políticas de contraseñas.

Para crear una nueva política de contraseña, haga clic en el botón :

Introduzca los parámetros para una política de contraseña:

Código: código para la política de inicio de sesión. Debe ser único, sin espacios ni caracteres especiales. Obligatorio.
Nombre: nombre de la política de inicio de sesión. Etiqueta que se mostrará en los diversos formularios de la solicitud. Obligatorio.
Descripción: campo para introducir una descripción de la política de contraseñas.
Fórmula: fórmula de cálculo para la definición de la contraseña

Para ver y modificar una política de contraseña, haga clic en el icono ubicado a la derecha en la fila de la tabla correspondiente:

Puede cambiar al modo de edición directamente desde la página de vista de la política de contraseña.

En el modo de edición, todos los campos pueden modificarse.

Acciones en los botones en el modo de edición o creación:

Cancelar: cancela la entrada actual y cambia la página al modo de vista
Guardar: Validar el formulario y cambiar la página al modo de visualización
Guardar y salir: Validar el formulario y volver a la página de la lista de políticas de contraseñas

Para eliminar una política de contraseña, haga clic en el icono ubicado a la derecha de la fila de la tabla correspondiente:

Aparecerá un mensaje de confirmación antes de que se elimine la política de contraseña.

Advertencia: no puede eliminar una política de contraseña si está vinculada a uno o más repositorios.

Visualización de cuentas en un repositorio¶

Para buscar una cuenta, vaya al menú "Cuentas".

Se le llevará directamente a la página de búsqueda de cuenta para un repositorio seleccionado (el primero de la lista), precargado sin ningún filtro aplicado pero respetando los permisos asociados con el perfil del usuario conectado.

Como las cuentas están vinculadas a un repositorio, debe seleccionar el repositorio deseado ya sea a través de las pestañas o a través de la lista desplegable para mostrar la lista de cuentas asociadas.

El modo de visualización se define de acuerdo con el número de repositorios: o hay 10 o menos repositorios y se muestran en pestañas separadas, o se enumeran en una lista desplegable.

La paginación se implementa para mostrar sólo 10 cuentas.

En la parte superior derecha de la tabla se encuentra un campo de búsqueda que se centra en los inicios de sesión de las cuentas y tiene en cuenta el repositorio seleccionado.

Configurar la tabla de resultados de búsqueda de cuentas¶

Para configurar los atributos que se incluirán en la tabla de resultados de búsqueda de cuentas, vaya a la página de configuración de atributos, seleccione la pestaña Cuenta, abra el atributo deseado en modo de edición y marque la opción Mostrar en la tabla de resultados.

Reconciliar/desconciliar una cuenta teórica con una cuenta real¶

Para ir a la página de gestión de la conciliación de cuentas, vaya al menú Cuentas y active la opción Conciliación:

Aparecerán dos tablas nuevas en la ventana:

La segunda tabla enumera las cuentas huérfanas en el repositorio seleccionado. Como recordatorio, las cuentas huérfanas son cuentas que se han recuperado del repositorio de destino pero que no están vinculadas a ninguna identidad en cyberelementos Identity.

El tercer cuadro enumera las identidades que no están vinculadas a ninguna cuenta en el repositorio seleccionado.

En esta tabla, para cada identidad sin cuenta, puede:

Para ello, haga clic en el botón a la derecha de la identidad deseada, luego busque la cuenta teórica existente deseada.
Para ello, haga clic en el El usuario puede crear una cuenta teórica seleccionando el tipo de cuenta deseado.

Nota importante

La característica se ha eliminado de las interfaces más antiguas porque no es posible mantener ambos modos.

La reconciliación de un recuento teórico con un recuento real permite establecer el vínculo entre el recuento calculado y creado por SYSTANCIA. Identity El "lien" se representa por un estado de provisión. Los valores posibles de un estado de provisión de una cuenta son:

0: ninguna cuenta (ni teórica ni real)
1 . Cuenta teórica (sólo)
2 : cuenta de huérfanos (cuenta real única)
3 . Cuenta teórica y real

Por lo tanto, cuando el valor de un estado de provisión de una cuenta es superior a 3, se habla de cuentas reconciliadas.

La información sobre las cuentas reales se recoge automáticamente por un conector de aprovisionamiento de tipo « Estados de provisión ».

En general, las conciliaciones de cuentas se realizan automáticamente a través de los conectores de tipo « Estados de provisión »En el caso de las cuentas de clientes, la aplicación de la interfaz de interconexión permite realizar reconciliaciones automáticas y manuales, que resultan especialmente útiles en la fase de integración de una nueva aplicación para gestionar la recuperación de datos de cuentas existentes.

Para acceder a la página de conciliación de cuentas, visite la consola de configuración y luego el menú « Déf. des droits/Réconciliation ».

¿ Qué ? « Manual de reconciliación » Permite realizar operaciones unitarias en las cuentas:
Conciliar manualmente una cuenta teórica con una cuenta real
Desconciliar manualmente una cuenta teórica con una cuenta real
Crear una cuenta teórica

Es necesario seleccionar un referencial en la lista desplegable para mostrar los datos sobre las cuentas y las identidades.

Se muestran dos cuadros:

El primer cuadro muestra las identidades para las cuales se puede generar un conteo teórico.
El segundo cuadro muestra la lista de cuentas reales que se han remontado desde la aplicación de referencia (référentiel applicatif).

La opción « Reconciliación automática » permite realizar un cálculo de las cuentas de un referencial dado. Es necesario seleccionar un referencial, seleccionar la opción « Utilizar la política de cuenta por defecto » en la segunda lista desplegable y luego hacer clic en el botón « ejecutar ». Las cuentas del referencial seleccionado se calcularán con la política de inicio de sesión definida.

Reconciliar manualmente una cuenta teórica con una cuenta real¶

Para reconciliar una identidad y una cuenta:

Seleccionar una identidad en el primer cuadro haciendo clic en el icono « » A la izquierda.
Seleccione una cuenta en el segundo cuadro.
Haga clic en el botón « Asociado ».

Nota: Es posible asociar una cuenta real que no esté vinculada a una cuenta teórica.

Desconciliar manualmente una cuenta real con una cuenta teórica¶

Para des-conciliar una cuenta real con una cuenta teórica:

Seleccione una identidad en el primer cuadro haciendo clic en el icono « » A la izquierda.
Haga clic en el botón « - ¿Qué es eso? »

La separación de una cuenta teórica de una cuenta real equivale a suprimir la cuenta teórica de la identidad, por lo que es necesario registrar una nueva cuenta teórica o vincular a la persona a una cuenta real existente.

Crear un recuento teórico¶

Para crear un compte théorique à une identité:

Seleccione una identidad en el primer cuadro haciendo clic en el icono « » A la izquierda.
Haga clic en el botón « Crear un botón teórico ».

Saisissez le login souhaité, puis cliquez sur le bouton « Créer ». En el siguiente enlace se muestra el nombre y la dirección de la página web.

-->

Gestión discrecional de las funciones y autorizaciones¶

Para modificar manualmente las asignaciones de roles y las autorizaciones de una identidad, abra el registro de identidad deseado en modo de vista y vaya a la pestaña Role y autorizaciones.

Se muestra una tabla que contiene las funciones asignadas a la identidad. Para cada función, una tabla anidada contiene las autorizaciones vinculadas a la identidad y asignadas a la función. Una autorización debe estar vinculada a un par Identity/Role.

Si se concilian varias identidades, se muestra una pestaña para cada identidad, lo que le permite seleccionar la identidad deseada. Las funciones/autorizaciones están vinculadas a una identidad y no a una cadena de reconciliación. Por lo tanto, es necesario seleccionar la identidad deseada antes de proceder con las actualizaciones manuales.

La paginación está configurada para mostrar sólo 10 roles.

En la tabla incrustada bajo un rol, la paginado está configurada para mostrar sólo 5 autorizaciones.

En la parte superior derecha de la tabla de funciones se encuentra un campo de búsqueda basado en los nombres de las funciones.

En la tabla incrustada bajo un rol, un campo de búsqueda está disponible en la parte superior de la tabla de autorizaciones.

En la tabla de autorización encontrará la siguiente información:

Su estatus:
- Valid: la autorización es visible sin ninguna marca especial
- Bloqueado: la autorización es visible pero tacha en la interfaz
Los valores posibles son:
- : Manual con el UID de la identidad que realizó la asignación
- : Regla de autorización con el nombre de la regla
- : Autorización concedida por herencia de funciones
- : El primer icono indica que la derecha se ha añadido manualmente (a través del flujo de trabajo), y el segundo le permite acceder al flujo de trabajo (enlace a la interfaz de operación del flujo de trabajo).

Para añadir uno o más roles o para añadir una o más autorizaciones a varios roles para la misma identidad, haga clic en el botón situado en la parte superior derecha de la tabla de roles.

Seleccione el rol deseado y luego haga clic en Confirmar para agregar los roles y proceder al siguiente paso, o Cancelar para cancelar la operación.

Para añadir una o más autorizaciones a un rol ya vinculado a la identidad, haga clic en el botón situado a la derecha en la fila correspondiente de la tabla de roles.

Seleccione las autorizaciones deseadas y haga clic en el botón "Confirmar" para vincularlas con el rol o en el botón "Cancelar" para cancelar la operación.

Botones de acción para las autorizaciones:
- : Permite bloquear la autorización.
- : Te permite desbloquear la autorización.
- : Permite certificar la autorización.
- : Permite eliminar el certificado de autorización.
- : Permite cambiar las fechas de solicitud.
- : Permite eliminar un derecho manual. Se muestra un mensaje de confirmación antes de proceder a la eliminación de la autorización.

Advertencia: El botón para eliminar una autorización sólo está presente si la autorización se ha asignado únicamente de forma discrecional. La autorización puede seguir siendo visible en el estado de "eliminación pendiente" si su estado de aprovisionamiento es "provisionado".

Para desvincular un rol de una identidad, haga clic en el icono situado a la derecha de la fila correspondiente en la tabla de roles.

Aparecerá un mensaje de confirmación antes de eliminar la función.

Advertencia: El botón para eliminar una función sólo está presente si la función ha sido asignada de forma discrecional.Todas las autorizaciones vinculadas al par de identidad/función también se desvincularán y se desprovisionarán en la próxima sincronización en el caso de la provisión automática.

Gestión de las normas de autorización¶

Las reglas de autorización le permiten configurar políticas de acceso y asignar automáticamente derechos a las identidades identificadas por la regla.

Una regla de autorización consiste en asociar:

por un lado, una población de usuarios, definida mediante un filtrado basado en funciones (RBAC), organizaciones (OrBAC) y/o valores de atributos (ABAC),
por otro lado, las funciones y los derechos de aplicación.

Para acceder a la gestión de reglas de autorización, vaya al menú Gestión de acceso / Reglas de autorización.

Se le llevará directamente a la página que enumera las reglas de autorización existentes, precargadas sin ningún filtro aplicado pero respetando las autorizaciones vinculadas al perfil de la persona conectada.

La paginación está configurada para mostrar sólo 10 reglas.

En la parte superior derecha de la tabla de reglas se encuentra un campo de búsqueda basado en los nombres de las reglas.

Para crear una nueva regla de autorización, haga clic en el botón .

La creación de una norma consta de tres partes:

Configuración general
- Nombre: nombre de la regla de autorización.
- Descripción: campo para introducir una descripción de la regla de autorización.
- Contexto: seleccione uno o más contextos de la lista desplegable que contiene contextos creados previamente.
Lista de criterios: haga clic en los botones o para añadir una regla de filtrado para las identidades que se incluirán en la regla de autorización. Una regla de filtrado consiste en definir un atributo al que se va a aplicar un filtro, el operador de comparación y los valores a comparar.
- ElEl botón le permite añadir un nuevo filtro al mismo nivel que el anterior.
- ElEl botón permite añadir un grupo de filtros al mismo nivel que el anterior. Es obligatorio añadir filtros o grupos de filtros a un grupo utilizando el botónobotones en el grupo.
- En cada nivel de filtro, deberá especificar el operador que se aplicará entre cada regla de filtro.
- Un objeto sobre el que desea realizar una comparación.
  - Un papel
  - Atributo de una persona
  - Un atributo de estructura
  - Un atributo de recurso
- Operador de comparación: la lista de operadores de comparación es dinámica y depende del tipo de objeto seleccionado.
- Un valor para comparar: se introducirá o seleccionará de una lista desplegable, en función del tipo de objeto seleccionado y del operador de comparación.

Se pueden agregar tantos criterios de filtro como se desee. Los operadores como AND o OR deben determinarse entre cada regla de filtro. Se pueden crear subgrupos para aumentar el número de posibilidades.

Ejemplo: Para crear la siguiente regla de filtro:

(Tipo de persona = Agente médico o agente médico externo Y Atributo de trabajo = Gerente de unidad biológica) O (Tipo de persona = Agente no médico Y* Atributo de trabajo = Especialista en medio ambiente) *

Los criterios de filtración se configurarán de la siguiente manera:

Role y autorizaciones que se asignarán en la regla de autorización: Hay dos pestañas para mostrar las funciones y autorizaciones que se incluirán en la regla de autorización. La pestaña Role muestra la lista de roles e indica brevemente las autorizaciones relacionadas, si las hay. Esta es también la pestaña desde la que se pueden agregar o eliminar roles y autorizaciones. La pestaña Autorizaciones muestra la lista de autorizaciones agregadas a la regla con las funciones asociadas para cada una. Esta pestaña simplemente ofrece otra vista.
- Para añadir roles y autorizaciones a la regla de autorización, haga clic en el botónen la pestaña Role. Debe seleccionar al menos una función y, si lo desea, seleccionar autorizaciones.

La lista de autorizaciones se filtra de acuerdo con las funciones seleccionadas (una función está vinculada a uno o más repositorios).

Para ver y modificar una regla de autorizaciones, haga clic en el icono ubicado a la derecha en la fila de la tabla correspondiente:

El modo de vista le permite ver los detalles de una regla de autorización y también la lista de identidades afectadas por la regla.

Puede buscar a una persona usando el campo de búsqueda en la parte superior derecha de la tabla.

Puede cambiar al modo de edición haciendo clic en el botón Edit.

En el modo de edición, todos los campos pueden modificarse.

Nota: la lista de personas afectadas por la norma no se actualiza en tiempo real cuando se modifica una norma, sino que se actualiza una vez que se ha validado la norma y se han completado los cálculos.

Acciones en los botones en modo de creación y edición:

Cancelar: cancela la entrada actual y cambia la página al modo de vista
Guardar: valida el formulario y cambia la página al modo de visualización. Los cálculos se realizan automáticamente.
Ver Impacto: muestra los impactos de la creación o actualización de la regla. Los impactos se muestran en dos tablas:
- La primera tabla enumera los impactos de la regla sobre los derechos, teniendo en cuenta solo la regla de autorización que se creó o modificó. Todas las identidades que coinciden con los criterios se muestran, incluidas las que ya han sido asignadas en otro lugar. Por lo tanto, si la persona pierde sus derechos después del cambio en la regla de autorización, aún puede conservarlos por otros medios.
- El segundo cuadro enumera las repercusiones globales de la norma sobre los derechos. Identity, asignaciones de derechos discrecionales y derechos bloqueados por una regla de separación de derechos. Si una identidad ya ha sido asignada el permiso en otro lugar, la cuenta no se incluirá en esta lista. Se muestran los derechos que realmente se verán afectados / eliminados cuando se valide el cambio.

En este segundo cuadro, es posible aplicar un retraso antes de eliminar efectivamente el derecho (aplicación de un período de biselado o de superposición).

Para eliminar una regla de autorización, haga clic en el icono situado a la derecha en la fila de la tabla correspondiente:

Se muestra un mensaje de confirmación antes de proceder a la eliminación de una regla de autorización.

El icono identifica una regla de autorización que se está calculando actualmente. Si está grisado, significa que los cálculos están completos.

Gestión de las normas de segregación de funciones (SoD)¶

Separación de funciones (SoD): es un principio de seguridad esencial que implica dividir responsabilidades y privilegios dentro de una organización o sistema para minimizar los riesgos y prevenir conflictos de intereses. Se implementa para garantizar el uso responsable y seguro de los sistemas de TI y los recursos de la empresa.

Una regla de segregación de funciones consiste en:

Definición de un grupo prioritario
Añadir autorizaciones al grupo prioritario con un peso prioritario

Para acceder a la gestión de las reglas de segregación de funciones, vaya al menú Gestión de acceso / Reglas de SoD.

Se le llevará directamente a la página que enumera las normas existentes sobre separación de funciones, precargadas sin aplicar ningún filtro, pero respetando las autorizaciones vinculadas al perfil de la persona conectada.

La paginación está configurada para mostrar sólo 10 reglas.

En la parte superior derecha de la tabla de reglas se encuentra un campo de búsqueda basado en el nombre de los grupos prioritarios (= nombre de la regla de separación de derechos).

Para crear una nueva regla de separación de derechos, haga clic en el botón :

Hay dos pasos para crear una regla de separación de derechos.

En primer lugar, introduzca los parámetros generales:

Código: código de la regla de separación de derechos.
Nombre: nombre de la regla de permisos. Obligatorio.
Descripción: campo para introducir una descripción de la regla de separación de derechos.

Guarde el formulario de creación para pasar al segundo paso, añadiendo autorizaciones.

Para agregar una autorización a la regla SoD, haga clic en el botón en la tabla Lista de derechos asociados.

Seleccione la autorización deseada e introduzca un peso para definir la prioridad.

Para modificar una autorización en la regla SoD, haga clic en el botón ubicado a la derecha en la fila de la tabla correspondiente.

Puede modificar la autorización y/o el peso prioritario.

Para eliminar una autorización en la regla SoD, haga clic en el botón ubicado a la derecha en la fila de la tabla correspondiente.

Para ver y modificar una regla de segregación de funciones, haga clic en el icono situado a la derecha en la fila de la tabla correspondiente.

Puede cambiar al modo de edición haciendo clic en el botón Edit.

En modo de edición, sólo el nombre y la descripción se pueden modificar

Para eliminar una regla de separación de funciones, haga clic en el icono situado en el lado derecho de la fila de la tabla correspondiente.

Se muestra un mensaje de confirmación antes de proceder a la eliminación de una regla de autorización.

Presentar las solicitudes de derechos utilizando formularios¶

Presentar una solicitud de derechos¶

Las solicitudes de autorizaciones para una persona (o usted mismo) se realizan en la vieja consola de operaciones a través del menú Ejecutar un Flujo de trabajo A petición.

Haga clic en el botón Actualizar para ver la lista de los flujos de trabajo disponibles.

Haga clic en el flujo de trabajo de su elección para enviar una solicitud de autorización.

Seleccione una o más identidades a las que se refiere la solicitud.

Seleccione las autorizaciones deseadas de la lista disponible y especifique las fechas de inicio y finalización, si es necesario.

Haga clic en el botón "Agregar".

Puede añadir o eliminar autorizaciones según lo desee. Si desea añadir fechas de solicitud a una autorización que ya ha sido seleccionada, debe eliminarla y luego agregarla nuevamente con las fechas introducidas previamente.

Haga clic en el botón " Inicio " y confirme la ventana emergente.

Después de confirmar la ejecución del flujo de trabajo, se le redirigirá automáticamente a la página donde puede ver las solicitudes pendientes.

Presentación de una solicitud de aprovisionamiento (o deprovisionamiento) manual de una autorización¶

Las solicitudes de aprovisionamiento (o desprovisionamiento) manual se envían en la vieja consola de operación a través del menú Ejecutar un flujo de trabajo A petición .

Haga clic en el botón Actualizar para ver la lista de los flujos de trabajo disponibles.

Haga clic en el flujo de trabajo de su elección para enviar una solicitud de aprovisionamiento.

Seleccione una o más identidades a las que se refiere la solicitud.

Seleccione las autorizaciones deseadas de la lista disponible y especifique las fechas de inicio y finalización, si es necesario.

Haga clic en el botón "Agregar".

Puede añadir o eliminar autorizaciones según lo desee. Si desea añadir fechas de solicitud a una autorización que ya ha sido seleccionada, debe eliminarla y luego agregarla nuevamente con las fechas introducidas previamente.

Haga clic en el botón " Inicio " y confirme la ventana emergente.

Después de confirmar la ejecución del flujo de trabajo, se le redirigirá automáticamente a la página donde puede ver las solicitudes pendientes.

Delegación de las autorizaciones¶

La delegación de poderes permite ceder derechos de una persona (delegador) a otra (delegado), generalmente por un período temporal.

Esta característica está disponible para los delegadores (dependiendo de los permisos de la persona conectada), pero, a partir de la versión 7.0, un tercero (dependiendo de los permisos de la persona conectada) también puede delegar derechos a otra identidad (por ejemplo, un administrador).

Para acceder a la función de delegación de autorización, abra el archivo de identidad deseado en modo de vista y vaya a la pestaña Delegaciones.

La paginación está configurada para mostrar sólo 10 reglas de delegación.

Para añadir una delegación, haga clic en el botón situado en la parte superior derecha de la tabla de delegaciones.

Introduzca la siguiente información para crear una delegación:

El delegado: la persona que recibe las funciones y/o autorizaciones delegadas (obligatorio)
La función delegada (es) (se requiere)
La autorización delegada (opcional)
Fechas de inicio y de fin de la delegación (facultativo)

Para modificar las delegaciones, haga clic en el icono situado a la derecha en la fila correspondiente de la tabla.

Puedes modificar todos los parámetros.

Para eliminar una delegación, haga clic en el icono situado a la derecha en la fila correspondiente de la tabla.

Aparecerá un mensaje de confirmación antes de que se elimine la delegación.

Gestión de las campañas de certificación¶

Se recomienda que se lleven a cabo regularmente campañas de certificación en todos los sistemas de referencia para garantizar que las autorizaciones asignadas sean realmente adecuadas.

Cómo funciona una campaña de certificación:

Las autorizaciones que se refieren a las campañas de certificación deben ser configuradas por el administrador con antelación.

Cuando se crea una campaña de certificación, todas las personas vinculadas a las autorizaciones configuradas para la certificación y pertenecientes a las aplicaciones seleccionadas se enumerarán y deberán someterse a la certificación de autorización.

Puede haber uno o varios certificadores para el mismo derecho.

Visualización de una campaña de certificación¶

Para acceder a la página de visualización de la campaña de certificación, vaya al menú Templa de la derecha \ Campaña de certificación.

La pantalla de visualización de la campaña de certificación es la siguiente:

Las campañas de certificación se encuentran en la parte izquierda de la pantalla.
La parte derecha de la pantalla se utiliza para ver los detalles de la campaña de certificación o para procesar las solicitudes de certificación.
- Nombre
- Código
- Descripción
- Aplicaciones
- Se gestionan tres estados de la campaña:
  - Nueva campaña: La campaña acaba de crearse. Ningún certificador ha tomado aún una decisión sobre la campaña. El botón Certificar derechos es visible para los certificadores. Véase la sección Procesar una campaña de certificación
  - Campaña en curso. Al menos uno de los certificadores ya ha tomado una decisión sobre la campaña. El botón "Certificar derechos" es visible para los certificadores. Véase la sección "Procesar una campaña de certificación"
  - Campaña completada. Todos los certificadores deben haber tomado una decisión sobre la campaña para que pueda adquirir este estado. La campaña sigue siendo visible pero ya no puede modificarse. Puede ser eliminada por el iniciador de la campaña. Véase la sección Cancelar una campaña de certificación
- La tabla de los pares de autorización/persona que se certifican, ordenados por solicitud, también enumera a los certificadores asociados con cada par de autorización/persona.
  - Punto gris: la autorización aún no ha sido verificada
  - Punto verde: la autorización ha sido verificada y certificada
  - Punto rojo: la autorización ha sido verificada y cancelada

Crear una campaña de certificación¶

Puede acceder a la página de creación de la campaña de certificación desde la página de consulta de la campaña de certificación.

Haga clic en el botón "Nueva campaña de certificación".

Rellene el formulario con los datos siguientes:

Nombre: el nombre que desea dar a la campaña.
Código: código de la campaña de certificación, obligatorio.
Descripción: texto libre para describir el objetivo de la campaña de certificación.
Solicitudes: seleccione las solicitudes que se incluirán en la campaña de certificación.

Notificaciones: las notificaciones pueden enviarse en cuatro etapas de la campaña de certificación.
- Notificación al comienzo de la campaña
- Notificación en caso de cancelación de la campaña
- Notificación cuando el estado de la campaña de certificación es Completado
- Notificación enviada a las personas cuando se certifica una de sus autorizaciones.

Para crear las distintas notificaciones, vaya a la sección Configurar una notificación de campaña de certificación.

Haga clic en el botón "Guardar" para guardar la campaña de certificación.

Haga clic en el botón "Cancelar" para cancelar la entrada en el formulario.

Cancelar una campaña de certificación¶

Puede acceder a la página de cancelación de la campaña de certificación desde la página de consulta de la campaña de certificación.

Seleccione la campaña de certificación que desea cancelar y haga clic en el botón "Cancelar campaña de certificación".

Nota: Sólo la persona que creó la campaña de certificación puede cancelarla.

Procesamiento de una campaña de certificación¶

Puede acceder a una campaña de certificación para su procesamiento desde la página de visualización de la campaña de certificación.

Seleccione la campaña de certificación que desea procesar y haga clic en el botón Certificar derechos.

Haga clic en el botón "Certificar derechos" para procesar una campaña.

La tabla de autorizaciones/lista de personas cambia al modo de edición.

Sólo se pueden comprobar las autorizaciones no certificadas, y el mismo certificador no puede modificar las acciones realizadas en un par de autorización/persona.

Los pares de autorización/persona que ya han sido procesados tienen un punto en lugar de una casilla de verificación:

verde si el derecho está certificado
rojo si se anula el derecho

Para certificar una autorización para una persona, haga clic en la casilla de verificación en la columna Estado de la tabla frente a la persona deseada.

Para cancelar una autorización para una persona, haga clic en la casilla de verificación en la columna Estado de la tabla frente a la persona deseada.

Para seleccionar todas las personas vinculadas a una autorización con un solo clic con el fin de validar o cancelar una autorización, puede seleccionar la casilla de verificación en la columna Derechos.

Para seleccionar todos los pares de autorización/persona en una aplicación con el fin de validar o cancelar una autorización, puede seleccionar la casilla de verificación en la columna Aplicaciones.

Nota: cuando hay varios certificadores para pares de autorización/persona, si al menos uno de los certificadores ha cancelado la autorización, entonces la autorización estará en el estado Bloqueado.

Configurar una notificación de campaña de certificación¶

El formulario de configuración de notificación de la campaña de certificación tiene el mismo formato para las cuatro notificaciones posibles.

Deberá introducirse la siguiente información:

Configuración de los receptores
- Atributos de correo electrónico de personas: seleccione el atributo que contiene una dirección de correo electrónico. Los destinatarios de la notificación deben tener una dirección de correo electrónico introducida en este atributo para recibir la notificación. Este campo es obligatorio.
- Direcciones de correo electrónico de otras personas relevantes: campo libre en el que puede añadir tantas direcciones de correo electrónico como desee. Cada destinatario de la lista recibirá la notificación sin excepción. Este campo es opcional.
Configuración de la notificación
- Lenguaje disponible: seleccione el idioma en el que desea escribir la notificación. Es posible enviar una notificación en diferentes idiomas guardando el sujeto y el cuerpo para cada idioma. La notificación se enviará en el idioma del usuario según lo definido en su atributo de idioma. Si no se define, se enviará en el idioma predeterminado.
- Subject: el asunto del correo electrónico. Este campo es opcional pero muy recomendable. Este parámetro puede contener palabras clave. Puede escribirse en cualquier idioma compatible.
- Truncate subject: parámetro que permite limitar la longitud del tema mostrando los valores de las palabras clave del primer objetivo sólo si hay varios objetivos. Seleccione sí si desea habilitar esta opción. No por defecto.
- Cuerpo: opción para crear un mensaje en modo HTML.
- Cuerpo del correo electrónico: campo libre para escribir el texto de la notificación.

Palabras clave específicas de la campaña de certificación:

La palabra clave #CAMPAÑA DE CERTIFICACIÓN# relacionada con una campaña de certificación puede utilizarse en notificaciones con diferentes variaciones utilizando dos parámetros de la siguiente manera:

1	`#CERTIFICATIONCAMPAIGN#PARAM_1#PARAM_2#`

Parámetro primario (PARAM_1) (PARAM_2) (PARAM_3)	Parámetro secundario (PARAM_2) (en el caso de las	Descripción
ATRIBUTO	NOMBRE	Permite recuperar el nombre de la campaña de certificación.
	STATUS (en inglés)	Permite recuperar el estado de la campaña de certificación.
	ID	Le permite recuperar el ID de la campaña de certificación.

Ejemplo de notificación:

Configuración del cuerpo del correo electrónico

Bonjour,
Ceci est un mail concernant la campagne de certification de droits qui vient de démarrer :
{
Nom = #CERTIFICATIONCAMPAIGN#ATTRIBUT#NOM# 
Statut = #CERTIFICATIONCAMPAIGN#ATTRIBUT#STATUS#
ID = #CERTIFICATIONCAMPAIGN#ATTRIBUT#ID#
}
Cdt
Systancia Identity

**E-mail recibido (después de la interpretación de las palabras clave) **

Visualizar cuentas y autorizaciones para una identidad¶

Las cuentas en los diversos repositorios de aplicaciones se calculan en función de las reglas de gestión definidas y de las funciones y autorizaciones asignadas a las identidades.

Las normas de gestión de las cuentas son:

Definición del estado de una cuenta basada en un estado de identidad,
Definición de las normas de fusión de cuentas en el caso de identidades múltiples
Definición de las reglas de creación de cuentas basadas únicamente en la asignación de funciones.

Para ver las cuentas y autorizaciones vinculadas a una identidad, abra el registro de identidad deseado en modo de vista y vaya a la pestaña Cuentas.

Esta pestaña sólo es accesible en modo de vista y muestra los resultados de los cálculos de cuenta y autorización realizados en la identidad o en todas las identidades en el caso de la conciliación de identidades.

Se muestra una tabla que contiene las cuentas calculadas. Para cada cuenta, una tabla anidada contiene las autorizaciones vinculadas a la cuenta. Una cuenta se puede generar sin ninguna autorización asociada.

En el caso de que se concilien varias identidades y una cuenta sea común a varias identidades (función de fusión de cuentas habilitada), la cuenta se identifica con el icono .

La paginación se implementa para mostrar sólo 10 cuentas.

En la tabla incrustada bajo una cuenta, la paginado está configurada para mostrar solo 5 autorizaciones.

En la parte superior derecha de la tabla de cuentas, se encuentra un campo de búsqueda que cubre los inicios de sesión de las cuentas o los nombres de los repositorios.

El estado teórico y el estado de provisión de las cuentas son visibles en cada línea del cuadro.

En la tabla incrustada bajo una cuenta, un campo de búsqueda está disponible en la parte superior de la tabla de autorizaciones.

El estado teórico y el estado de provisión de las autorizaciones son visibles en cada línea del cuadro.

Una leyenda que explica los diferentes estados teóricos y de aprovisionamiento ayuda a los usuarios a comprender los diferentes estados.

Asignación/desagregación de cuentas y autorizaciones¶

El proceso de transferencia de cuentas y autorizaciones calculadas por Systancia Identity a los diversos repositorios de aplicaciones se denomina aprovisionamiento en el sentido descendente, por lo que Systancia Identity tiene autoridad sobre las aplicaciones definidas para gestionar cuentas y autorizaciones.

Hay dos formas de gestionar el aprovisionamiento:

Se puede crear un conector automático (a través de API, base de datos, directorio o intercambios de archivos planos automatizados), en cuyo caso nos referimos al aprovisionamiento automático.
O no es posible crear un conector automático, en cuyo caso nos referimos al aprovisionamiento semiautomático.

Automático de aprovisionamiento y desprovisión¶

Para proporcionar cuentas y autorizaciones en los repositorios de aplicaciones, es necesario utilizar el Identity Motor de aprovisionamiento (SIP) para crear un conector de aprovisionamiento en sentido descendente: de Systancia Identity, que es la fuente autorizada, teniendo en cuenta las reglas de sincronización configuradas, las cuentas y autorizaciones se crearán, actualizarán o eliminarán en los repositorios de aplicaciones de acuerdo con las reglas definidas en las reglas de importación.

Una secuencia de aprovisionamiento en sentido descendente debe consistir al menos en los siguientes elementos:

Una exportación del repositorio Identity (autorizado) del tipo USER + ACCESS o ACCOUNT + ACCESS
Exportación del repositorio de aplicaciones objetivo
Una regla de sincronización
Una regla de importación en el repositorio de aplicaciones objetivo

Para crear un conector, consulte la página Gestión automática de los conectores de aprovisionamiento.

Asignación y retirada de provisiones semiautomáticas¶

Un conector de aprovisionamiento semiautomático se crea utilizando un flujo de trabajo de "solicitud de usuario" o "evento" con al menos una tarea de aprovisionamiento o desprovisionamiento manual.

En la tarea de aprovisionamiento manual, las acciones de aprovisionamiento que se deben realizar se enumeran en una notificación enviada al operador. Una vez que el operador ha completado la tarea, puede hacer clic en el botón "Tarea validada" para indicar que se ha completado el aprovisionamiento. El estado de aprovisionamiento de la cuenta y / o autorizaciones se actualiza en Systancia Identity. Esto permite a los administradores verificar el estado de los derechos de identidad.

Gestión de las cuentas y autorizaciones¶

Gestión de los tipos de cuentas¶

Crear/modificar/borrar un tipo de cuenta para un repositorio¶

Crear/modificar/borrar una política de inicio de sesión¶

Crear/modificar/borrar una política de contraseña¶

Visualización de cuentas en un repositorio¶

Configurar la tabla de resultados de búsqueda de cuentas¶

Reconciliar/desconciliar una cuenta teórica con una cuenta real¶

Reconciliar manualmente una cuenta teórica con una cuenta real¶

Desconciliar manualmente una cuenta real con una cuenta teórica¶

Crear un recuento teórico¶

Gestión discrecional de las funciones y autorizaciones¶

Gestión de las normas de autorización¶

Gestión de las normas de segregación de funciones (SoD)¶

Presentar las solicitudes de derechos utilizando formularios¶

Presentar una solicitud de derechos¶

Presentación de una solicitud de aprovisionamiento (o deprovisionamiento) manual de una autorización¶

Delegación de las autorizaciones¶

Gestión de las campañas de certificación¶

Visualización de una campaña de certificación¶

Crear una campaña de certificación¶

Cancelar una campaña de certificación¶

Procesamiento de una campaña de certificación¶

Configurar una notificación de campaña de certificación¶

Visualizar cuentas y autorizaciones para una identidad¶

Asignación/desagregación de cuentas y autorizaciones¶

Automático de aprovisionamiento y desprovisión¶

Asignación y retirada de provisiones semiautomáticas¶